توییت
دروپال، سیستم مدیریت محتوای محبوب اوپن سورس، به تازگی به روز رسانی های امنیتی را برای رفع چندین آسیب پذیری بسیار مهم درهسته خود، منتشر کرده است که می توانسته به مهاجمان این اجازه دهد تا امنیت صدها هزار وب سایت را به خطر بیندازند.
با توجه به توصیه هایی که امروز توسط توسعه دهندهای دروپال منتشر شد، تمام آسیب پذیری های امنیتی دروپال در ماه جاری در لایبری های ثالث قرار دارند که شامل دروپال 8.6، دروپال 8.5 و یا نسخههای قبلتر آن یعنی دروپال 7 قرار دارند.
یکی از رخنههای امنیتی (XSS) بوده است که در یک پلاگین ثالث قرار گرفته و عموما با نام JQuery شناخته میشود، محبوب ترین لایبری موجود جاوا اسکریپت است که توسط میلیون ها وب سایت استفاده می شود و ایضاّ در هسته پیش ساخته دروپال نیز از آن بهره برده شده.
هفته گذشته، JQuery آخرین نسخه خود یعنی 3.4.0 را منتشر کرد تا رخنه گزارش شده را پچ کند، که البته هنوز تعداد CVE (Common Vulnerabilities and Exposures) را تعیین نکرده است، که بر تمامی نسخه های قبلی این لایبری تا امروز نیز موثر است.
"جی کوئری 3.4.0 شامل اصلاح برخی از خروجی های ناخواسته در هنگام استفاده jQuery.extend(true, {}, ...)
اگر یک ابجکت منبع unsanitized حاوی یک متغیر __proto__ قابل شمارش باشد، می تواند Object.prototype لوکال را گسترش دهد.
همچنین گفته میشود که ممکن است این آسیب پذیری به وسیله برخی از ماژول های دروپال قابل بهره برداری باشد."
باقی سه آسیب پذیری امنیتی در اجزای PHP Symfony که توسط هسته دروپال استفاده می شوند نیز می توانند در اسکریپت های متقابل سایت (CVE-2019-10909)، اجرای کد کد (CVE-2019-10910) و (CVE-2019-1091) و حملات بایپس موثر باشند.
با توجه به محبوبیت سوء استفاده از دروپال در میان هکرها، به شما بشدت توصیه می شود که آخرین به روز رسانی این سیستم مدیریت محتوا را در اسرع وقت نصب کنید:
اما با این وجود، (PoC) اکسپلویت از آسیب پذیری کد برای استفاده در اینترنت تنها دو روز پس از انتشار نسخه های پچ از نرم افزار خود، به طور عمومی در دسترس قرار گرفت.
و پس از آن بود که چندین فرد و گروه از هکرها فعالیت خود را در وبسایتهای مربوط به کریپتو کارنسی که سیستم مدیریت محتوای دروپال خود را بروز رسانی نکرده بودند، شروع کردند.
همچنبن در سال گذشته، اتکرها صدها هزار وب سایت دروپال را در حملات دسته جمعی هدف خود قرار دادند که منجر به از سوءاستفاده های گسترده شد و دو آسیب پذیری جداگانه مهم از راه ریموت کد را که Drupalgeddon2 و Drupalgeddon3 نامیده می شدند، هدف قرار دادند.
در این موارد، غالب حملات نیزبا فاصله کمی پس از انتشارPoC شروع شدند، بلافاصله بعد ازینکه اکسپلویت برای هر دو آسیب پذیری در اینترنت منتشر شد، به دنبال مآن تلاشهای گستردهای در جهت بهره برداری صورت گرفت.
خلاصه کنیم- وبسایت رو قبل از اینکه دیر بشه پچ کنید.
با توجه به توصیه هایی که امروز توسط توسعه دهندهای دروپال منتشر شد، تمام آسیب پذیری های امنیتی دروپال در ماه جاری در لایبری های ثالث قرار دارند که شامل دروپال 8.6، دروپال 8.5 و یا نسخههای قبلتر آن یعنی دروپال 7 قرار دارند.
یکی از رخنههای امنیتی (XSS) بوده است که در یک پلاگین ثالث قرار گرفته و عموما با نام JQuery شناخته میشود، محبوب ترین لایبری موجود جاوا اسکریپت است که توسط میلیون ها وب سایت استفاده می شود و ایضاّ در هسته پیش ساخته دروپال نیز از آن بهره برده شده.
هفته گذشته، JQuery آخرین نسخه خود یعنی 3.4.0 را منتشر کرد تا رخنه گزارش شده را پچ کند، که البته هنوز تعداد CVE (Common Vulnerabilities and Exposures) را تعیین نکرده است، که بر تمامی نسخه های قبلی این لایبری تا امروز نیز موثر است.
"جی کوئری 3.4.0 شامل اصلاح برخی از خروجی های ناخواسته در هنگام استفاده jQuery.extend(true, {}, ...)
اگر یک ابجکت منبع unsanitized حاوی یک متغیر __proto__ قابل شمارش باشد، می تواند Object.prototype لوکال را گسترش دهد.
همچنین گفته میشود که ممکن است این آسیب پذیری به وسیله برخی از ماژول های دروپال قابل بهره برداری باشد."
باقی سه آسیب پذیری امنیتی در اجزای PHP Symfony که توسط هسته دروپال استفاده می شوند نیز می توانند در اسکریپت های متقابل سایت (CVE-2019-10909)، اجرای کد کد (CVE-2019-10910) و (CVE-2019-1091) و حملات بایپس موثر باشند.
با توجه به محبوبیت سوء استفاده از دروپال در میان هکرها، به شما بشدت توصیه می شود که آخرین به روز رسانی این سیستم مدیریت محتوا را در اسرع وقت نصب کنید:
- اگر از دروپال 8.6 استفاده می کنید، به دروپال 8.6.15 به روزرسانی کنید.
- .
- اگر از دروپال 7 استفاده می کنید، به دروپال 7.66 به روزرسانی کنید.
اما با این وجود، (PoC) اکسپلویت از آسیب پذیری کد برای استفاده در اینترنت تنها دو روز پس از انتشار نسخه های پچ از نرم افزار خود، به طور عمومی در دسترس قرار گرفت.
و پس از آن بود که چندین فرد و گروه از هکرها فعالیت خود را در وبسایتهای مربوط به کریپتو کارنسی که سیستم مدیریت محتوای دروپال خود را بروز رسانی نکرده بودند، شروع کردند.
همچنبن در سال گذشته، اتکرها صدها هزار وب سایت دروپال را در حملات دسته جمعی هدف خود قرار دادند که منجر به از سوءاستفاده های گسترده شد و دو آسیب پذیری جداگانه مهم از راه ریموت کد را که Drupalgeddon2 و Drupalgeddon3 نامیده می شدند، هدف قرار دادند.
در این موارد، غالب حملات نیزبا فاصله کمی پس از انتشارPoC شروع شدند، بلافاصله بعد ازینکه اکسپلویت برای هر دو آسیب پذیری در اینترنت منتشر شد، به دنبال مآن تلاشهای گستردهای در جهت بهره برداری صورت گرفت.
خلاصه کنیم- وبسایت رو قبل از اینکه دیر بشه پچ کنید.